Anomalie-Erkennung für mehr Sicherheit

Wie kleinste Indizien vor Gefahren warnen

Von in IT-Infrastruktur
04
Aug
'21

Die Zahl an Cyberangriffen steigt kontinuierlich an. Umso wichtiger ist es, dass Unternehmen ihre Cyber-Resilienz stärken. Die Anomalie-Erkennung kann sich dabei als ein entscheidendes Element für mehr Sicherheit erweisen.

Wir erklären, was Anomalie-Erkennung ist und wie Unternehmen sie gewinnbringend einsetzen.

Kleinste Indizien sind Vorboten von Gefahr

Häufig beginnen Cyber-Angriffe vollkommen unbemerkt. Ein gutes Beispiel dafür ist Ransomware. Vor der Datenverschlüsselung und dem Aufploppen einer Lösegeldforderung waren die Cyberkriminellen im Hintergrund oft schon fleißig, haben Systeme ausspioniert und Daten abgezogen, um vor allem die zweifache oder dreifache Erpressung optimal vorbereiten und massig Druckmittel sammeln zu können. Dabei verhalten sie sich möglichst unauffällig, um ihre Opfer nicht zu früh auf sich aufmerksam zu machen.

Ganz unsichtbar machen können sie ihre Anwesenheit und ihr Tun allerdings nicht. Wer kleinste Indizien zu deuten weiß, kann das kriminelle Treiben in den Schatten des IT-Netzwerks entdecken und reagieren, bevor es zu Schlimmerem kommen kann – im Fall eines Ransomware-Angriffs wären das der Datendiebstahl und die Datenverschlüsselung.

Ausgefeilte Abwehrmechanismen unterstützen Unternehmen dabei, sich vor derartigen Cyber-Angriffen zu schützen und ihre Cyber-Resilienz zu stärken. Ein entscheidender Baustein dabei ist die Anomalie-Erkennung. Aber was ist Anomalie-Erkennung genau? Wie funktioniert die Anomalie-Erkennung? Und warum ist sie für die IT-Sicherheit so wichtig?

Zu sehen ist ein geometrisches Muster mit einer Anomalie. Es geht um die Anomalie-Erkennung. Bild: Unsplash/Maximalfocus

Es gibt eine Abweichung vom gewohnten Muster? Die Anomalie-Erkennung deckt solche Fälle auf. Bild: Unsplash/Maximalfocus

Was ist Anomalie-Erkennung?

Die Anomalie-Erkennung (auch: Anomalieerkennung oder Anomalie Erkennung) ist untrennbar verknüpft mit dem Monitoring eines Netzwerks. Durch die fortlaufende Überwachung des Netzwerks haben entsprechende Tools ein genaues Bild davon, wie sich das Netzwerk und jede darin eingebundene Komponente im Normalfall verhält. Kleinste Abweichungen von dieser Norm beziehungsweise ungewöhnliche Verhaltensweisen einzelner Komponenten fallen dadurch direkt auf und setzen unmittelbar Sicherheitsprozesse und Prüfmechanismen in Gang.

Kleinste Indizien können hierbei als Vorboten potenzieller Gefahren dienen, die sich bei rechtzeitiger Reaktion verhindern lassen. Mögliche Anomalien, die auf Cyberangriffe und Netzwerkprobleme hinweisen, können beispielsweise sein: neue Netzwerkteilnehmer, neue Netzwerkverbindungen, veränderte Befehlsstrukturen, unbekannte Datenpakete oder neue Protokolltypen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) benennt die Anomalie-Erkennung im Netzwerk als ein wichtiges Mittel, um dieses zu schützen. Der Grund: Sie entdeckt nicht nur technische Fehler und falsche Konfigurationen, sondern eignet sich auch zur Detektion unbekannter Angriffsformen – unbekannte Malware fällt nämlich durch das Raster vieler Antiviren- und Firewall-Lösungen.

Wie funktioniert Anomalie-Erkennung?

Tools zur Anomalie-Erkennung sind darauf ausgerichtet, die gesamte Netzwerkkommunikation und Netzwerkinfrastruktur zu beobachten und zu analysieren. Dadurch entsteht ein umfassendes Network Mapping, in dem genau dokumentiert ist, welche Netzwerkteilnehmer es gibt, welche Verbindungen und Verhältnisse zwischen diesen Netzwerkteilnehmern bestehen, welche Datenpakete üblicherweise übermittelt werden und in welcher Frequenz die Kommunikation im Netzwerk erfolgt.

Das Ergebnis dessen ist eine detaillierte Inventur der vollständigen IT-Infrastruktur. Zudem lassen sich daraus Standardmuster definieren. Das ist besonders wichtig. Denn: Wenn es keine Definition des Normalzustands gibt, lassen sich auch keine atypischen Verhaltensweisen ausweisen. Über logische oder statistische Ansätze lässt sich festlegen, welches Verhalten normal ist und welches nicht. Auch das Festlegen von Schwellenwerten ist als Grundlage der Anomalie-Erkennung wichtig.

Oft benötigen entsprechende Tools etwas Zeit, um ein solches Network Mapping zu erstellen und Anomalien zuverlässig zu erkennen. Je mehr Wissen es über den Normalzustand gibt, desto besser funktioniert dann auch die Anomalie-Erkennung. In Echtzeit registriert sie Auffälligkeiten und meldet diese, sodass direkt eine Prüfung stattfinden und eine entsprechende Reaktion eingeleitet werden kann.

Zu sehen ist eine Frau, die an einem höhenverstellbaren Schreibtisch arbeitet. Sie nutzt ein Tool zur Anomalie-Erkennung. Bild: Pexels/Christina Morillo

Mit den richtigen Tools verschafft die Anomalie-Erkennung große Vorteile. Bild: Pexels/Christina Morillo

Netzwerk: Anomalie-Erkennung bannt Gefahren

Durch dieses Echtzeit-Reporting und die daraus gewonnenen Einblicke und Erkenntnisse lassen sich also ungewöhnliche Verhaltensweisen – sprich: Anomalien – erkennen. Dazu ein Beispiel. Ein Angreifer hat es geschafft, eine noch unbekannte Malware einzuschleusen. Im Netzwerk bewirkt er, dass eine Netzwerkkomponente Kontakt zu allen anderen Netzwerkkomponenten aufnimmt, was für diese bestimmte Komponente ein ungewöhnliches Verhalten ist. Durch die Anomalie-Erkennung fällt das direkt auf. Es erfolgt eine Meldung, die wiederum eine Prüfung auslöst. Rechtzeitig lässt sich verhindern, dass der Angreifer die Kontrolle über einzelne Komponenten oder das gesamte Netzwerk übernimmt.

Dieses Vorgehen lässt sich auch auf andere Cyber-Gefahren übertragen. So lässt die Anomalie-Erkennung auch die Alarmglocken schrillen, wenn bei einem DoS-Angriff massenweise Anfragen einzelne Komponenten des Datennetzes überlasten und zu einem Ausfall führen sollen. Oder wenn plötzlich ungewöhnliche Datenströme zu externen Zielen auftauchen, was bei einem Datendiebstahl durch Cyberkriminelle auftreten kann. In solchen Fällen gilt es, schnell zu sein und den Angreifern schleunigst das Handwerk zu legen. Die Anomalie-Erkennung macht’s möglich.

Nicht nur externe Angreifer gefährden das Netzwerk

Sie sehen: Die Anomalie-Erkennung kann das Schutzniveau gegenüber schwer zu entdeckenden Angriffen und Schadprogrammen deutlich verbessern. Denn: Während Firewalls, Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) lediglich nach bereits bekannten Bedrohungen und Aktivitäten suchen, kann die Anomalie-Erkennung auch unbekannte Gefahren aufdecken.

Aber nicht nur Cyber-Gefahren lassen sich durch die Anomalie-Erkennung rechtzeitig bemerken und verhindern. Für die Geschäftsabläufe in Unternehmen kann es genauso gefährlich sein, wenn sich Netzwerkprobleme, Kapazitätsengpässe oder Anlagenfehler abzeichnen. Die Anomalie-Erkennung weiß auch hier, geringfügige Veränderungen in den Kommunikationsströmen des Netzwerks zu deuten und entsprechend zu alarmieren. Das Resultat: eine ganzheitliche Störungsabwehr und eine umfassende digitale Transparenz. Damit zahlt die Anomalie-Erkennung auch auf wichtige Aufgaben wie die Business Continuity und IT-Compliance ein.

In einer dunklen Umgebung hält eine Person in dunkler Kleidung einen Laptop. Der Cyberangriff wird durch die Anomalie-Erkennung erschwert. Bild: Pexels/Sora Shimazaki

Hacker haben es durch die Anomalie-Erkennung deutlich schwerer. Bild: Pexels/Sora Shimazaki

BSI: Systeme zur Angriffserkennung ab 1. Mai 2023 Pflicht

Demnach ist der Nutzen eines Instruments zur Anomalie-Erkennung enorm. Derartige Systeme werden aus diesem Grund auch im IT-Sicherheitsgesetz 2.0 thematisiert, das am 18. Mai 2021 in Kraft getreten ist. Darin steht: „Die Verpflichtung […] angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst ab dem 1. Mai 2023 auch den Einsatz von Systemen zur Angriffserkennung.“ Allerdings: Die Verpflichtung betrifft erst einem nur Institutionen der Bundesverwaltung und KRITIS-Betreiber. Wer oder was genau zu diesen Kritischen Infrastrukturen gehört, lesen Sie in unserem Blogbeitrag zum Thema KRITIS.

Diese Ankündigung wird anschließend konkretisiert. So wird gefordert, dass die eingesetzten Systeme zur Angriffserkennung geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten müssen. Und weiter: „Sie sollen dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.“ Ohne dass die Anomalie-Erkennung explizit genannt ist, wird aus diesen Zeilen doch deutlich, dass sie hier eine entscheidende Rolle spielen könnte.

IT-Monitoring – so gelingt die Netzwerküberwachung

KRITIS-Betreiber sollten sich also definitiv vor dem genannten Stichtag mit Systemen zur Angriffserkennung beschäftigen, um der neuen Verpflichtung nachzukommen. Und auch alle anderen Unternehmen und Einrichtungen sollten Lösungen zur automatisierten Anomalie-Erkennung als Teil einer ganzheitlichen Sicherheitsstrategie in Erwägung ziehen.

Denn: Auch perspektivisch sind solche Lösungen sinnvoll; es ist schließlich davon auszugehen, dass die Komplexität der Netzwerke und die Menge an Datenströmen in der nahen Zukunft noch wachsen werden. Tools zur Anomalie-Erkennung sind für solche Anforderungen gewappnet. Und: Mittels intelligenter Algorithmen und Machine Learning werden sie immer besser.

Sie möchten auch in Ihrem Unternehmen ein effizientes Monitoring implementieren? Dann wenden Sie sich gern an die IT-Fachleute aus dem IT-SERVICE.NETWORK. Sie helfen Ihnen dabei, die richtigen Tools für Ihr Unternehmen auszuwählen und diese zu implementieren. Auf Wunsch übernehmen sie anschließend sogar das Netzwerk-Monitoring für Sie und kümmern sich darum, wenn es zu Auffälligkeiten kommt. Die kompetenten IT-Dienstleister in unserem Netzwerk stehen Ihnen mit ihrer dauerhaften Betreuung stets zur Seite.


Weiterführende Links:
Security Insider, bgbl, Rhebo

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Rene Floitgraf, 4. August 2021 um 15:22

Auch wenn eine solche Angriffserkennung wünschenswert ist. Die Pflicht, die hier genannt wird, trifft nur für kritische Infrastrukturen zu. Eine allgemeine Pflicht für alle Unternehmen gibt es nicht.

Antworten

    IT-SERVICE.NETWORK-Team, 5. August 2021 um 9:30

    Hallo Herr Floitgraf,

    da haben Sie natürlich Recht! Wir haben den Text entsprechend angepasst. Vielen Dank für Ihren Hinweis!

    Viele Grüße
    Ihr IT-SERVICE.NETWORK

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.